Organisaation on kehitettävä ja otettava käyttöön vankat muutoksenhallintamenettelyt osana tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämistä koskevia suojatoimia. Näitä menettelyjä on sovellettava kaikkiin ohjelmistoihin, laitteistoihin, laiteohjelmistokomponentteihin, tieto- ja viestintätekniikkajärjestelmiin ja tietoturvaparametreihin liittyviin muutoksiin. Menettelyjen on sisällettävä seuraavat kriittiset osatekijät:

• Virallisen tarkastusprosessin toteuttaminen sen varmistamiseksi, että kaikki tieto- ja viestintätekniikan tietoturvavaatimukset on täytetty, ennen kuin jokin muutos hyväksytään tai toteutetaan.
• Muutosta pyytävä ja toteuttava ryhmä on riippumaton muutosta tarkastavasta ja hyväksyvästä ryhmästä eturistiriitojen välttämiseksi ja objektiivisuuden varmistamiseksi.

On varmistettava, että roolit ja vastuualueet on jaettu selkeästi ja että ne kattavat seuraavat seikat:

• Muutosten määrittely ja suunnittelu
• asianmukaisen siirtymävaiheen suunnittelu, jolla varmistetaan toiminnan jatkuvuus
• muutoksen valvottu testaus ja viimeistely
• tehokas laadunvarmistus koko muutoksen elinkaaren ajan

Dokumentoi ja ilmoita seuraavat tiedot jokaisesta muutoksesta:

• Muutoksen tarkoitus ja laajuus
• täytäntöönpanon aikataulu
• Muutoksen odotetut tulokset
• Varamenettelyt ja vastuut, mukaan lukien menettelyt muutoksen keskeyttämiseksi ja suunnitelmat epäonnistuneiden tai osittaisten toteutusten korjaamiseksi

Sisällytä erityiset menettelyt kiireellisten tilanteiden käsittelyä varten:

• Määrittele kiireelliset muutosmenettelyt, jotka tarjoavat riittävät suojatoimet huolimatta niiden nopeutetusta luonteesta

On varmistettava, että kaikki kiireelliset muutokset (mukaan lukien kiertotiet ja korjaukset) dokumentoidaan, arvioidaan uudelleen ja arvioidaan käyttöönoton jälkeen sekä hyväksytään virallisesti käyttöönoton jälkeen.

Menettelyyn on sisällytettävä myös turvallisuusvaikutusten arviointi jokaisesta ehdotetusta muutoksesta, jotta voidaan määrittää sen mahdollinen vaikutus olemassa oleviin tieto- ja viestintätekniikan turvallisuustoimenpiteisiin.

Organisaatiolla tulee luoda menettely henkilöstöään koskevaa koulutusta ja ohjausta varten. Näihin menettelyiden tulisi sisältää ja kattaa ainakin seuraavat aiheet:

• Tietoturvapolitiikka.
• Turvallisuuspoikkeamien raportointi.
• Reagointi haittaohjelmahäiriöihin.
• Käyttäjätiliä ja kirjautumistietoja koskevat käytännöt (esim. salasanakäytännöt).
• Tietoturvasäännösten noudattaminen.
• Salassapitosopimusten (NDA) käyttö arkaluonteisia tietoja jaettaessa.
• Ulkoisten IT-palveluiden käyttö.

Koulutusohjelmassa olisi yksilöitävä tietyt työntekijäryhmät, jotka tarvitsevat tätä koulutusta, kuten järjestelmänvalvojat, tuotantohenkilöstö sekä henkilöt, joilla on pääsy asiakasverkkoihin.

Vastuullisen johdon on hyväksyttävä koulutusmenettely. Koulutus- ja tietoisuusohjelmat on toteutettava säännöllisesti ja erityisten tapahtumien yhteydessä. Varmista, että työntekijät tietävät, keneen ottaa yhteyttä tietoturva asioissa.

Organisaation tietojärjestelmät ja laitteisto ovat kattavasti järjestelmienhallinnan piirissä. Järjestelmienhallinnan kautta voidaan mahdollistaa mm. automaattiset päivitykset.

Laitteiden, tietojärjestelmien ja verkkojen nykyiset kokoonpanot dokumentoidaan ja kokoonpanomuutoksista pidetään kirjaa.

Konfiguraatioiden muutoksia on valvottava, ja ne on tehtävä muutostenhallintamenettelyn kautta. Vain valtuutettu henkilöstö saa tehdä muutoksia konfiguraatioihin.

Konfiguraatiotietoihin voi sisältyä esim. seuraavat tiedot:

• kiinteistön omistajan ja yhteyshenkilön tiedot
• viimeisimmän konfiguraatiomuutoksen päivämäärä
• konfiguraatiomallin versio
• yhteydet muihin omaisuuseriin

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Tietoturvaohjeistusta tarkennetaan työntekijän työtehtävään liittyen. Organisaatio on määritellyt yksiköt ja roolit, jotka vaativat erillistä ohjeistusta, ja muodostaa näille omia tarkennettuja tietoturvaohjeitaan.

Esimerkkejä omaa ohjeistusta vaativista yksiköistä ovat mm. asiakaspalvelu, IT ja HR. Esimerkkejä omaa ohjeistusta vaativista työrooleista puolestaan järjestelmän pääkäyttäjä sekä etätyön tekijä.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.